[Вопрос] Очистка дампа оперативной памяти

[tyhjjk]

Приветствую всех.
Помогите, пожалуйста, найти программу или еще что, чтобы невозможно было снять дамп памяти. Весь гугл перерыл ничего стоящего не смог найти.
Только нашел программу "Dementia" (https://code.google.com/p/dementia-forensics/)
Но как пользоваться не пойму, что там про драйвера написано и их установку.
Посоветуйте, как можно очищать дамп оперативной памяти, чтоб невозможно было сделать криминалистическую экспертизу.

 

[Teodor Bodler]

Приветствую всех.
Помогите, пожалуйста, найти программу или еще что, чтобы невозможно было снять дамп памяти. Весь гугл перерыл ничего стоящего не смог найти.
Только нашел программу "Dementia" (https://code.google.com/p/dementia-forensics/)
Но как пользоваться не пойму, что там про драйвера написано и их установку.
Посоветуйте, как можно очищать дамп оперативной памяти, чтоб невозможно было сделать криминалистическую экспертизу.

Попробуйте подойти с другой стороны: не превращать винду в линукс, а сразу выбрать линукс и для подобного вам вполне подойдет Whonix

 

[Forum services]

Тут скорее Tails.

 

[tyhjjk]

Эти ОСи не подойдут, так как они работают только через тор. И поэтому будет медленный интернет, а для меня очень важно иметь быстрое интернет-соединение. Если бы можно было в этих ОСях убрать тор и поставить VPN, но как я понял такое сделать невозможно.
Неужели не существует программ для очистки оперативной памяти на windows? Тот же CCleaner чистит только дамп файла подкачки. А нужно именно чистить дамп оперативной памяти.

 

[Vektor T13]

Снять дамп - https://belkasoft.com/en/ram-capturer

Программ для нормальной очистки не существует. Вручную или батником.

 

[tyhjjk]

Снять дамп - https://belkasoft.com/en/ram-capturer

Программ для нормальной очистки не существует. Вручную или батником.

Можно поподробней, как чистить в ручную или батником? Выше ссылку не понял, там набор программ для снятия дампа, а не для его чистки.

 

[Vektor T13]

В первом посте говорилось о снятии дампа оперативной памяти, вот софт я и показал.

Очистить оперативную память

Создать свой собственный RAM Cleaner с помощью блокнота.
Для того, чтобы частично очистить оперативную память и повысить скорость компьютера, выполните следующие шаги.
Шаг 1: Откройте Блокнот
Шаг 2: Написать эти строки кода

MsgBox "Вы хотите очистить ваш RAM?",0," Эксклюзивная очистка ОЗУ"
FreeMem=Space(307200000)
Msgbox"Очистка RAM успешно завершена..",0,"Эксклюзивная очистка ОЗУ"

Шаг 3: Теперь сохраните это, нажав CTRL + S
Шаг 4: Когда спросит имя файла, сохраните его, как “ram_cleaner.vbs” (без кавычек), выбрав в поле тип файла — ❝Все файлы❞.

Шаг 5: Запустите его и ваша память будет очищена ..Что это кусок кода выше гласит.
MsgBox — “Вы хотите очистить ваш Ram?” ,0, “Эксклюзивная очистка ОЗУ”
Эта строка кода выводит окно сообщения с вопросом: Вы хотите очистить ваш Ram?
“ 0 ” — означает тип доступных опции. Если “0”, то получите только кнопку OK в окне сообщения.
Чтобы появилось окно с кнопками ОК и Отмена измените цифру 0 на 1 ..

“Эксклюзивная очистка ОЗУ” — это просто заголовок в окне сообщения ..
FreeMem=Space(307200000)
Этот фрагмент кода делает реальное дело по очистке 3GB RAM .. Если ваша память составляет 2 ГБ, то измените его на 2048 с 5 нулями после него.
Msgbox — “Очистка RAM успешно завершена..”, 0, “Эксклюзивная очистка ОЗУ”
Этот кусок кода выводит сообщение — “Очистка RAM успешно завершена..” (без кавычек).
Вот и все!!
ram_cleaner.vbs(png)Теперь, когда вы захотите освободить оперативную память, удалив временные данные в ней, просто запустите ram_cleaner.vbs, дважды щелкнув значок ram_cleaner.vbs на рабочем столе.

 

[Vektor T13]

но следует помнить, что в файлах pagefile и hibersys - так-же находиться куча информации и их нужно выгружить вручную.

 

[tyhjjk]

Этот вариант я тоже уже пробовал, но проблема в следующем: там можно создать только FreeMem=Space - значение только 10000000 - а это меньше 16гб, а у меня 16 гб ОЗУ.

 

[Vektor T13]

Этот вариант я тоже уже пробовал, но проблема в следующем: там можно создать только FreeMem=Space - значение только 10000000 - а это меньше 16гб, а у меня 16 гб ОЗУ.

В таком случае можно лишь полностью выгрузить оперативку, но это приведет к краху системы.

Оптимизаторы памяти — бред с целью заработать деньги на доверчивых пользователях. Такой же глупостью является и подстройка «скрытых настроек памяти» в Windows, так как там все уже настроено наиболее оптимально после тестирования на большом количестве компьютеров. Специфичные моменты бывают, но к домашним компьютерам это не относится.

 

[tyhjjk]

В таком случае можно лишь полностью выгрузить оперативку, но это приведет к краху системы.

Но это очистит полностью всю оперативку и выключит систему? В принципе, такое тоже бы подошло, главное, чтоб криминалистическую экспертизу не смогли сделать. Это поможет в данном случае?
Еще подумываю все-таки в сторону Tails, а можно же как-то настроить быструю цепочку тор под себя и работать только по ней, чтоб был быстрый интернет?

 

[Vektor T13]

Но это очистит полностью всю оперативку и выключит систему? В принципе, такое тоже бы подошло, главное, чтоб криминалистическую экспертизу не смогли сделать. Это поможет в данном случае?
Еще подумываю все-таки в сторону Tails, а можно же как-то настроить быструю цепочку тор под себя и работать только по ней?

Криминалистическую экспертизу сделать не смогут если:
1. Использовать систему Тейлс
2. Использовать Windows live (запуск с флешки и выгрузка в ОЗУ)
3. Произведена замена 0 на 1 в ОЗУ
4. Выключено питание

Но повторюсь pagefile и hibersys несут в себе не меньшую опастность.

Увеличить скорость тора врядле получиться.

 

[tyhjjk]

Криминалистическую экспертизу сделать не смогут если:
3. Произведена замена 0 на 1 в ОЗУ

А как произвести данную замену?

 

[tyhjjk]

Но повторюсь pagefile и hibersys несут в себе не меньшую опастность.

Это у меня чистит ccleaner перед выключением. Ну по крайне мере, pagefile (файл подкачки), а что такое hibersys?

 

[Vektor T13]

А как произвести данную замену?

Стандартных средств нет т.к. в режиме пользователя нет доступа к ОЗУ, следовательно операция может быть выполнена только в режиме ядра и результатом операции будет полный крах системы.

 

[Vektor T13]

Это у меня чистит ccleaner перед выключением. Ну по крайне мере, pagefile (файл подкачки), а что такое hibersys?

Можете мне прислать свой pagefile - я проведу экспертизу и покажу что ccleaner не дает хорошего результата.
hibersys - хранилище пямяти при режиме сна/гибернации

 

[tyhjjk]

Стандартных средств нет т.к. в режиме пользователя нет доступа к ОЗУ, следовательно операция может быть выполнена только в режиме ядра и результатом операции будет полный крах системы.

И что тогда делать? А можете посоветовать live cd с выгрузкой ОЗУ? Пытался такое гуглить, но нигде не пишется выгружается ли ОЗУ, с загрузкой с флешки нашел, а чтоб с выгрузкой ОЗУ - не могу, точнее не могу понять как искать.

Можете мне прислать свой pagefile - я проведу экспертизу и покажу что ccleaner не дает хорошего результата.
hibersys - хранилище пямяти при режиме сна/гибернации

Отключил файл подкачки в системе, как и hiber.sys. Теперь думаю точно все очищено :)

 

[tyhjjk]

2. Использовать Windows live (запуск с флешки и выгрузка в ОЗУ)

Я до конца не могу понять, выгрузка в ОЗУ - это же значит система будет грузиться с флешки в ОЗУ, но мы же пытаемся, наоборот, добиться чтобы информация не хранилась в ОЗУ, а здесь получается вся Windows будет в оперативной памяти, какой в этом тогда смысл?

Можете мне прислать свой pagefile - я проведу экспертизу и покажу что ccleaner не дает хорошего результата.

Где он находится?


И еще возник такой вопрос: вот допустим, используем виртуалку. Как от её следов полностью избиваться? Ведь в основной ОС она составляет кучу всего после себя - начиная от своих драйверов и оборудования до мусора в реестре: о её раннем присутствии в системе и использовании.

 

[Vektor T13]

Я до конца не могу понять, выгрузка в ОЗУ - это же значит система будет грузиться с флешки в ОЗУ, но мы же пытаемся, наоборот, добиться чтобы информация не хранилась в ОЗУ, а здесь получается вся Windows будет в оперативной памяти, какой в этом тогда смысл?

Если использовать например винду на флешке зашифрованную трукриптом то даже получив доступ к ОЗУ (например успели выдернуть флешку, опера забежали и залили жидким азотом ПК) это ничего не даст.

Где он находится?

C:/

И еще возник такой вопрос: вот допустим, используем виртуалку. Как от её следов полностью избиваться? Ведь в основной ОС она составляет кучу всего после себя - начиная от своих драйверов и оборудования до мусора в реестре: о её раннем присутствии в системе и использовании.

Никак не избавиться - только полностью ее удалить.

 

[tyhjjk]

Если использовать например винду на флешке зашифрованную трукриптом то даже получив доступ к ОЗУ (например успели выдернуть флешку, опера забежали и залили жидким азотом ПК) это ничего не даст.

То есть, если Вас правильно понимаю, то Live cd с флешки спасет от дампа оперативной памяти?
Получается нужно просто поставить win 7PE на флешку (не сочтите за рекламу, вот такая подойдет? - Win 7 PE x86 compact by Xemom1 03.10.15 [Ru] torrent :: NNM-Club) и работать с неё, и тогда не смогут сделать криминалистическую экспертизу?

C:/

Каким образом найти? Виндовским поисковиком ничего не находит.

Никак не избавиться - только полностью ее удалить.

В этом и проблема, что даже после удаления, остаются от вм следы (например, рабочая группа в сетевом оружении, часть драйверов и записи в реестре).